Configurar Microsoft Entra ID para aprovisionar usuarios en SAP ECC con NetWeaver AS ABAP 7.0 o posterior
En la siguiente documentación se proporciona información de configuración y un tutorial que muestra cómo aprovisionar usuarios de Microsoft Entra ID en el Componente central de SAP ERP (SAP ECC, anteriormente SAP R/3) con NetWeaver 7.0 o una versión posterior. Si usa otras versiones de SAP R/3, puede seguir usando las guías proporcionadas en la descargaConectores para Microsoft Identity Manager 2016 como referencia para crear su propia plantilla para el aprovisionamiento. Si usa SAP S/4HANA u otras aplicaciones SaaS de SAP, siga el tutorial para configurar SAP Cloud Identity Services para el aprovisionamiento automático de usuarios en su lugar. Para obtener más información sobre las integraciones de SAP, consulte administración del acceso a las aplicaciones de SAP.
El siguiente vídeo proporciona información general sobre el aprovisionamiento local.
Funcionalidades admitidas
- Creación de usuarios en SAP ECC.
- Eliminación de usuarios de SAP ECC cuando ya no necesiten tener acceso.
- Mantenimiento de la sincronización de los atributos de usuario entre Microsoft Entra ID y SAP ECC.
Fuera de ámbito
- No se admiten otros tipos de objeto, incluidos los grupos de actividad local, los roles y los perfiles. Use Microsoft Identity Manager si se requieren estos objetos.
- Las operaciones de contraseña no se admiten. Use Microsoft Identity Manager si se requiere la administración de contraseñas.
Requisitos previos para el aprovisionamiento en SAP ECC con NetWeaver AS ABAP 7.51
Requisitos previos locales
El equipo que ejecuta el agente de aprovisionamiento debe tener:
- Al menos 3 GB de RAM.
- Windows Server 2016 o una versión posterior.
- Conectividad a un sistema con SAP ECC NetWeaver AS ABAP 7.51
- Conectividad saliente a login.microsoftonline.com, otros dominios de Microsoft Online Services y Azure. Un ejemplo es una máquina virtual de Windows Server 2016 hospedada en IaaS de Azure o detrás de un proxy.
- .NET Framework 4.7.2
Requisitos de la nube
Un inquilino de Microsoft Entra con Microsoft Entra ID P1 o Premium P2 (o EMS E3 o E5).
El uso de esta característica requiere una licencia Microsoft Entra ID P1. Para encontrar la licencia que más se ajuste a sus requisitos, consulte la Comparación de las características de disponibilidad general de Microsoft Entra ID.
El rol Administrador de identidad híbrida para configurar el agente de aprovisionamiento y los roles Administrador de aplicaciones o Administrador de aplicaciones en la nube para configurar el aprovisionamiento en el Centro de administración Microsoft Entra.
Los usuarios de Microsoft Entra que se van a aprovisionar en SAP ECC deben estar rellenados con los atributos necesarios para SAP ECC.
1. Instalación y configuración del agente de aprovisionamiento de Microsoft Entra Connect
Si ya ha descargado el agente de aprovisionamiento y lo ha configurado para otra aplicación local, continúe la lectura en la sección siguiente.
- Inicie sesión en el centro de administración de Microsoft Entra.
- Vaya a Aplicaciones empresariales y seleccione Nueva aplicación.
- Busque la aplicación ECMA local, asigne un nombre a la aplicación y seleccione Crear para agregarla al inquilino.
- En el menú, vaya a la página de aprovisionamiento de la aplicación.
- Seleccione Comenzar.
- En la página Aprovisionamiento, cambie el modo a Automático.
En Conectividad local, seleccione Descargar e instalar y seleccione Aceptar términos descargar.
Salga del portal y ejecute el instalador del agente de aprovisionamiento, acepte los términos de servicio y seleccione Instalar.
Espere al Asistente para configuración del agente de aprovisionamiento de Microsoft Entra y, después, seleccione Siguiente.
En el paso Seleccione la extensión, seleccione Aprovisionamiento de aplicaciones locales y Siguiente.
El agente de aprovisionamiento usa el navegador web del sistema operativo para mostrar una ventana emergente para que el usuario se autentique en Microsoft Entra ID y, potencialmente, también en el proveedor de identidades de su organización. Si usa Internet Explorer como explorador en Windows Server, es posible que tenga que agregar sitios web de Microsoft a la lista de sitios de confianza del explorador para permitir que JavaScript se ejecute correctamente.
Proporcione las credenciales de un administrador de Microsoft Entra cuando se le solicite para la autorización. El usuario debe tener al menos el rol de Administrador de identidades híbridas.
Seleccione Confirmar para confirmar la configuración. Una vez que la instalación se haya realizado correctamente, puede seleccionar Salir y cerrar también el instalador de paquete del agente de aprovisionamiento.
2. Exposición de las API de SAP necesarias
Exponga las API necesarias en SAP ECC NetWeaver 7.51 para crear, actualizar y eliminar usuarios. En el documento Implementación de SAP NetWeaver AS ABAP 7.51 se explica cómo exponer las API necesarias.
3. Creación de una plantilla de conector de servicios web
Si no va a migrar desde un conector de servicios web existente en MIM, deberá crear una plantilla de conector de servicios web para el host ECMA. Si ya tiene una plantilla de conector de servicios web de MIM, continúe en la siguiente sección.
Puedes usar el documento Creación de la plantilla del conector de servicio web SAP ECC 7.51 para ECMA2Host como referencia para compilar tu plantilla. Los conectores para Microsoft Identity Manager 2016 también proporcionan una plantilla sapecc.wsconfig
como referencia. Antes de implementar en la producción, deberá personalizar la plantilla para satisfacer las necesidades de su entorno específico. Asegúrese de que ServiceName, EndpointName y OperationName son correctos.
4. Configuración de la aplicación ECMA local
En el portal, en la sección Conectividad local, seleccione el agente que ha implementado y seleccione Asignar agentes.
Mantenga abierta esta ventana del explorador, ya que completará el siguiente paso de configuración con el Asistente para configuración.
5. Configuración del certificado de host del conector ECMA de Microsoft Entra
En la instancia de Windows Server donde está instalado el agente de aprovisionamiento, haga clic con el botón derecho en el Asistente para configuración de Microsoft ECMA2Host desde el menú Inicio y ejecútelo como administrador. Debe ejecutarlo como administrador de Windows para que el asistente cree los registros de eventos de Windows necesarios.
Una vez iniciada la configuración del host del conector ECMA, si es la primera vez que se ha ejecutado el asistente, se le pedirá que cree un certificado. Deje el puerto predeterminado 8585 y seleccione Generar certificado para generar un certificado. El certificado autogenerado se firma automáticamente como parte de la raíz de confianza. El certificado SAN coincide con el nombre de host.
Seleccione Guardar.
6. Configuración del conector de servicios web genéricos
En esta sección, creará la configuración del conector para SAP ECC 7.0.
La configuración de la conexión a SAP ECC se realiza mediante un asistente. En función de las opciones que seleccione, es posible que algunas de las pantallas del asistente no estén disponibles y que la información sea ligeramente diferente. Use la siguiente información como orientación para la configuración.
6.1 Conexión del agente de aprovisionamiento a SAP ECC
Para conectar el agente de aprovisionamiento de Microsoft Entra con SAP ECC, siga estos pasos:
Copie el archivo de plantilla del conector de servicio web
sapecc.wsconfig
en la carpetaC:\Program Files\Microsoft ECMA2Host\Service\ECMA
.Genere un token secreto que se utilizará para autenticar Microsoft Entra ID en el conector. Debe tener un mínimo de 12 caracteres y un valor único para cada aplicación.
Si aún no lo ha hecho, inicie el Asistente para configuración de Microsoft ECMA2Host desde el menú Inicio de Windows.
Seleccione Nuevo conector.
En la página Propiedades, rellene los cuadros con los valores especificados en la tabla que sigue a la imagen y seleccione Siguiente.
Propiedad. Valor Nombre El nombre que eligió para el conector, que debe ser único en todos los conectores del entorno. Por ejemplo, si solo tiene una instancia de SAP, SAPECC7
.Temporizador de sincronización automática (minutos) 120 Token secreto Escriba el token secreto que generó para este conector. La clave debe tener un mínimo de 12 caracteres. DLL de extensión En el conector de servicios web, seleccione Microsoft.IdentityManagement.MA.WebServices.dll. En la página Conectividad, rellene los cuadros con los valores especificados en la tabla que sigue a la imagen y seleccione Siguiente.
Propiedad. Descripción Proyecto de servicio web Nombre de la plantilla SAP ECC, sapecc
.Host Nombre de host del punto de conexión SOAP de SAP ECC, por ejemplo, vhcalnplci.dummy.nodomain
Port Puerto del punto de conexión SOAP de SAP ECC, por ejemplo, 8000
En la página Funcionalidades, rellene los cuadros con los valores especificados en la siguiente tabla y seleccione Siguiente.
Propiedad Value Estilo de nombre distintivo Genérico Tipo de exportación ObjectReplace Normalización de datos None Confirmación de objeto Normal Habilitar importación Activada Importación diferencial habilitada No activado Habilitar exportación Activada Habilitar exportación completa No activado Habilitar contraseña de exportación en el primer paso Activada No hay valores de referencia en el primer paso de exportación No activado Habilitar cambio de nombre de objeto No activado Eliminar-agregar al reemplazar No activado
Nota:
Si la plantilla del conector de servicios web sapecc.wsconfig
se abre para su edición en la herramienta de configuración del servicio web, recibirá un error.
En la página Global, rellene los cuadros con los valores especificados en la tabla que sigue a la imagen y seleccione Siguiente.
Propiedad Value ClientCredentialType Básico Nombre de usuario El nombre de usuario de una cuenta con derechos para realizar llamadas a las BAPI usadas en la plantilla SAP ECC. Contraseña Contraseña del nombre de usuario que se ha proporcionado. Probar la conexión Desactivado, si no tiene ningún flujo de trabajo de conexión de prueba implementado en la plantilla En la página Particiones, seleccione Siguiente.
En la página Perfiles de ejecución, mantenga activada la casilla Exportar. Active la casilla Importación completa y seleccione Siguiente. El perfil de ejecución Exportar se usará cuando el host de conector de ECMA necesite enviar cambios de Microsoft Entra ID a SAP ECC para insertar, actualizar y eliminar registros. El perfil de ejecución Importación completa se usará cuando se inicie el servicio host del conector de ECMA para leer el contenido actual de SAP ECC.
Propiedad Value Exportación Perfil de ejecución que exportará datos a la instancia de SAP ECC. Este perfil de ejecución es obligatorio. Importación completa Perfil de ejecución que importará todos los datos de la instancia de SAP ECC especificada anteriormente. Importación diferencial Perfil de ejecución que importará solo los cambios de la instancia de SAP ECC desde la última importación completa o diferencial. En la página Tipos de objeto, rellene los cuadros y seleccione Siguiente. Use la tabla que sigue a la imagen como guía sobre los cuadros individuales.
Delimitador: los valores de este atributo deben ser únicos para cada objeto del sistema de destino. El servicio de aprovisionamiento de Microsoft Entra consulta el host del conector de ECMA usando este atributo después del ciclo inicial. Este valor se define en la plantilla del conector de servicios web.
DN: la opción Generado automáticamente debe seleccionarse en la mayoría de los casos. Si no está seleccionado, asegúrese de que el atributo DN esté asignado a un atributo de Microsoft Entra ID que almacene el DN en el formato siguiente:
CN = anchorValue, Object = objectType
. Para más información sobre los delimitadores y el DN, vea Acerca de los atributos delimitadores y los nombres distintivos.Propiedad Value Objeto de destino User
Delimitador userName
DN userName
Generado automáticamente Activada
El host del conector de ECMA detecta los atributos que admite SAP ECC. Luego, puede elegir cuál de los atributos detectados desea exponer a Microsoft Entra ID. A continuación, estos atributos se pueden configurar en el Centro de administración Microsoft Entra para el aprovisionamiento. En la página Seleccionar atributos, agregue todos los atributos de la lista desplegable, uno a la vez. La lista desplegable Atributo muestra cualquier atributo que se haya detectado en SAP ECC y que no se haya elegido en la página Seleccionar atributos anterior. Una vez que haya agregado todos los atributos pertinentes, seleccione Siguiente.
En la página Desaprovisionando, en Deshabilitar flujo, seleccione Eliminar. Los atributos seleccionados en la página anterior no estarán disponibles para seleccionar en la página Desaprovisionando. Seleccione Finalizar.
Nota
Si usa la opción Establecer valor de atributo, tenga en cuenta que solo se permiten valores booleanos.
En la página Desaprovisionamiento, en Deshabilitar flujo, seleccione Ninguno. Controlará el estado de la cuenta de usuario con la propiedad expirationTime. En Eliminar flujo, seleccione Ninguno si no desea eliminar usuarios de SAP o Eliminar si desea eliminar usuarios. Seleccione Finalizar.
7. Comprobación de que el servicio ECMA2Host se está ejecutando
En el servidor en el que se ejecuta el host del conector ECMA de Microsoft Entra, seleccione Iniciar.
Escriba run y luego services.msc en el cuadro.
En la lista Servicios, asegúrese de que Microsoft ECMA2Host esté presente y en ejecución. Si no es así, seleccione Iniciar.
Si ha iniciado recientemente el servicio y tiene muchos objetos de usuario en SAP ECC, espere varios minutos para que el conector establezca una conexión con SAP ECC.
8. Configuración de la conexión de la aplicación en el Centro de administración Microsoft Entra
Vuelva a la ventana del explorador web donde configuró el aprovisionamiento de la aplicación.
Nota
Si la ventana agotó el tiempo de espera, tendrá que volver a seleccionar el agente.
- Inicie sesión en el centro de administración de Microsoft Entra.
- Vaya a Aplicaciones empresariales y seleccione la aplicación ECMA local.
- Seleccione Aprovisionamiento.
- Seleccione Comenzar y, a continuación, cambie el modo a Automático. En la sección Conectividad local, seleccione el agente que acaba de implementar y Asignar agentes. De lo contrario, vaya a Editar aprovisionamiento.
En la sección Credenciales de administración, escriba la siguiente dirección URL. Reemplace la parte
{connectorName}
por el nombre del conector en el host de conector ECMA, por ejemplo, SAPECC7. El nombre del conector distingue mayúsculas de minúsculas y debe tener las mismas que las que se configuraron en el asistente. También puede reemplazarlocalhost
por el nombre de host de la máquina.Propiedad Valor URL de inquilino https://localhost:8585/ecma2host_SAPECC7/scim
Escriba el valor de Token secreto que ha definido al crear el conector.
Nota
Si acaba de asignar el agente a la aplicación, espere 10 minutos para que se complete el registro. La prueba de conectividad no funciona hasta que se completa el registro. Forzar que el registro del agente se complete reiniciando el agente de aprovisionamiento en el servidor puede acelerar el proceso de registro. Vaya al servidor, busque servicios en la barra de búsqueda de Windows, identifique el Servicio del agente de aprovisionamiento de Microsoft Entra Connect, haga clic con el botón derecho en el servicio y reinicie.
Seleccione Probar conexión y espere un minuto.
Una vez que la prueba de conexión funcione correctamente e indique que las credenciales suministradas están autorizadas a habilitar el aprovisionamiento, seleccione Guardar.
9. Configuración de las asignaciones de los atributos
Ahora asignará atributos entre la representación del usuario en Microsoft Entra ID y la representación del usuario en SAP ECC.
Utilizará el Centro de administración Microsoft Entra para configurar la asignación entre los atributos del usuario de Microsoft Entra y los atributos que ha seleccionado previamente en el asistente de configuración del host ECMA.
Asegúrese de que el esquema de Microsoft Entra incluya los atributos que necesita SAP ECC. Si requiere que los usuarios tengan un atributo y ese atributo aún no forma parte del esquema de Microsoft Entra para un usuario, deberá usar la característica de extensión de directorio para agregar dicho atributo como una extensión.
En el portal de Microsoft Entra, en Aplicaciones empresariales, seleccione Aplicación ECMA local y luego, la página Aprovisionamiento.
Seleccione Editar aprovisionamiento y espere 10 segundos.
Expanda Asignaciones y seleccione Aprovisionar usuarios de Microsoft Entra. Si esta es la primera vez que ha configurado las asignaciones de atributos para esta aplicación, solo habrá una asignación presente para un marcador de posición.
Para confirmar que el esquema de SAP ECC está disponible en Microsoft Entra ID, active la casilla Mostrar opciones avanzadas y seleccione Editar lista de atributos para ScimOnPremises. Asegúrese de que se muestran todos los atributos seleccionados en el Asistente para configuración. Si no es así, espere varios minutos para que el esquema se actualice y vuelva a cargar la página. Una vez que vea los atributos enumerados, seleccione Cancelar en esta página para volver a la lista de asignaciones.
Ahora, haga clic en la asignación del marcador de posición userPrincipalName. Esta asignación se agrega de forma predeterminada cuando se configura por primera vez el aprovisionamiento local.
Cambie el valor para que coincida con lo siguiente:
Tipo de asignación | Atributo de origen | Atributo de destino |
---|---|---|
Directo | userPrincipalName | urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userName |
Ahora, seleccione Agregar nueva asignación y repita el paso siguiente para cada asignación.
Especifique los atributos de origen y destino para cada una de las asignaciones de la tabla siguiente.
Atributo de Microsoft Entra Atributo ScimOnPremises Precedencia de coincidencia Aplicar esta asignación ToUpper(Word([userPrincipalName], 1, "@"), )
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userName 1 Solo durante la creación del objeto Redact("Pass@w0rd1")
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:export_password Solo durante la creación del objeto city
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:city Siempre companyName
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:company Siempre department
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:department Siempre mail
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:email Siempre Switch([IsSoftDeleted], , "False", "9999-12-31", "True", "1990-01-01")
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:expirationTime Siempre givenName
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:firstName Siempre surname
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:lastName Siempre telephoneNumber
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:telephoneNumber Siempre jobTitle
urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:jobTitle Siempre Una vez que se hayan agregado todas las asignaciones, seleccione Guardar.
10. Asignación de usuarios a la aplicación
Ahora que el host del conector ECMA de Microsoft Entra se comunica con Microsoft Entra ID y se ha configurado la asignación de atributos, puede pasar a configurar quién está dentro del alcance del aprovisionamiento.
Importante
Si inició sesión con un rol Administrador de identidades híbridas, cierre sesión e iníciela con una cuenta que tenga al menos el rol Administrador de aplicaciones para esta sección. El rol Administrador de identidad híbrida no tiene permisos para asignar usuarios a aplicaciones.
Si existen usuarios en SAP ECC, debe crear asignaciones de roles de aplicación para esos usuarios existentes. Para obtener más información sobre cómo crear asignaciones de roles de aplicación en bloque, consulte Gobernanza de los usuarios existentes de una aplicación en Microsoft Entra ID.
De lo contrario, si no hay usuarios actuales de la aplicación, seleccione un usuario de prueba de Microsoft Entra que se aprovisionará a la aplicación.
Asegúrese de que el usuario que seleccione tenga todas las propiedades que se asignarán a los atributos necesarios de SAP ECC.
En el centro de administración de Microsoft Entra, seleccione Aplicaciones empresariales.
Seleccione la aplicación Aplicación ECMA local.
A la izquierda, en Administrar, seleccione Usuarios y grupos.
Seleccione Agregar usuario o grupo.
En Usuarios, seleccione Ninguno seleccionado.
Seleccione usuarios de la derecha y luego el botón Seleccionar.
Ahora seleccione Asignar.
11. Aprovisionamiento de pruebas
Ahora que los atributos y usuarios están asignados, puede probar el aprovisionamiento a petición con uno de los usuarios.
En el centro de administración de Microsoft Entra, seleccione Aplicaciones empresariales.
Seleccione la aplicación Aplicación ECMA local.
A la izquierda, seleccione Aprovisionamiento.
Seleccione Aprovisionamiento a petición.
Busque alguno de los usuarios de prueba y seleccione Aprovisionar.
Después de varios segundos, aparecerá el mensaje Se ha creado correctamente el usuario en el sistema de destino, con una lista de los atributos de usuario.
12. Inicio del aprovisionamiento de usuarios
Una vez que el aprovisionamiento a petición se realice correctamente, vuelva a la página de configuración del aprovisionamiento. Asegúrese de que el ámbito esté establecido solo en los usuarios y grupos asignados, active el aprovisionamiento y seleccione Guardar.
Espere hasta 40 minutos para que se inicie el servicio de aprovisionamiento. Una vez completado el trabajo de aprovisionamiento, como se explica en la sección siguiente, si terminó con las pruebas, puede desactivar el estado de aprovisionamiento y seleccionar Guardar. Esta acción evita que el servicio de aprovisionamiento se ejecute en el futuro.
Solución de errores de aprovisionamiento
Si se muestra un error, seleccione Ver registros de aprovisionamiento. Busque en el registro una fila en la que el estado sea Error y selecciónela.
Para más información, cambie a la pestaña de Recomendaciones y Resolución de problemas.